Selon les SophosLabs, le pretexte COVID-19 du spam est peut-être nouveau, mais les mécanismes utilisés pour le diffuser (y compris les "bots" qui envoient le message en spam, le document Word scripté joint et le JavaScript dropper) sont similaires ou identiques à ceux utilisés dans les campagnes Trickbot qui sont actives depuis au moins six mois.

• "Les cybercriminels derrière Trickbot sont probablement des attaquants habiles qui tirent parti de la peur actuelle pour effrayer les gens et les inciter à cliquer. Bien que ce soit le cas en Italie actuellement, nous nous attendons à une attaque similaire dans d’autres pays où les craintes d’une épidémie de COVID-19 sont élevées. La meilleure approche pour éviter ce type de cyberattaque est de désactiver les macros, d’être très prudent avant de cliquer, mais aussi de supprimer les e-mails suspects ou provenant d’une source inconnue", a déclaré Chester Wisniewski, Principal Research Scientist chez Sophos.

"Chaque fois qu’il y a un sujet d’intérêt public comme le COVID-19 ou les incendies en Australie, nous voyons que les cybercriminels essayent de tirer parti de nos inquiétudes pour en faire une opportunité. Nous devons rester vigilants et nous méfier des communications entrantes en temps de crise et ne demander conseil qu’à nos autorités de santé publique".

Pour des conseils supplémentaires, veuillez consulter l’article de Naked Security sur les autres emails de phishing liés au Coronavirus et sur la façon de préserver sa sécurité informatique, notamment :

• Ne vous laissez jamais inciter à cliquer sur un lien dans un email. Et surtout, ne suivez pas des conseils auxquels vous ne vous attendiez pas. Si vous cherchez vraiment à obtenir des conseils sur le Coronavirus, faites vos propres recherches et choisissez vous-même vos sources.

• Ne vous faites pas avoir par le nom de l’expéditeur. Cette arnaque dit qu’elle provient de « l’Organisation mondiale de la santé », mais l’expéditeur peut mettre le nom qu’il veut dans le champ d’envoi.

• Faites attention aux fautes d’orthographe et de grammaire. Tous les criminels ne font pas de fautes, mais c’est le cas pour la majorité. Prenez le temps d’examiner les messages pour détecter les signes révélateurs d’une fraude – il est déjà assez grave de se faire escroquer sans se rendre compte par la suite que vous auriez pu repérer la fraude dès le départ.

• Vérifiez l’URL avant de la saisir ou de cliquer sur un lien. Si le site web vers lequel vous êtes renvoyé ne vous semble pas correct, restez à l’écart. Faites vos propres recherches.

• Ne saisissez jamais de données qu’un site web ne devrait pas demander. Il n’y a aucune raison pour qu’une page web de sensibilisation à la santé vous demande votre adresse électronique, et encore moins votre mot de passe. En cas de doute, ne le donnez pas.

• Si vous vous rendez compte que vous venez de révéler votre mot de passe à des imposteurs, changez-le dès que vous le pouvez. Les escrocs qui gèrent les sites de phishing essaient généralement de récupérer les mots de passe volés immédiatement (ce processus peut souvent être effectué automatiquement), donc plus vous réagissez rapidement, plus vous avez de chances de les devancer.

• N’utilisez jamais le même mot de passe sur plus d’un site. Une fois que les escrocs ont un mot de passe, ils l’essaient généralement sur tous les sites web où vous avez un compte.

• Activez l’authentification à deux facteurs (2FA) si vous le pouvez. Ces codes à six chiffres que vous recevez sur votre téléphone ou que vous générez via une application constituent généralement un obstacle de taille pour les escrocs, car ils ne peuvent pas se baser sur la connaissance unique de votre mot de passe.

• Éduquez vos utilisateurs. Des produits comme Sophos Phish Threat peuvent démontrer le genre d’astuces utilisées par les hameçonneurs, mais en toute sécurité, de sorte que si quelqu’un tombe dans le piège, aucun mal réel ne soit fait. Sophos propose également une boîte à outils gratuite contre le phishing, qui comprend des exemples d’e-mails de phishing, des conseils pour repérer un phish, etc.